WailingCrab 악성코드

Infosec 연구원들은 배달 및 배송 주제가 포함된 이메일이 WailingCrab이라는 정교한 악성 코드 로더를 배포하는 수단으로 사용되고 있다고 경고했습니다. 이 악성 코드는 로더, 인젝터, 다운로더, 백도어를 포함한 여러 구성 요소로 구성됩니다. 악성 코드의 후속 단계를 가져오려면 명령 및 제어(C2, C&C) 서버와의 성공적인 통신이 필요한 경우가 많습니다.

위협 행위자들이 WailingCrab 악성 코드를 적극적으로 개발하고 있습니다.

연구원들은 WailingCrab이 이탈리아 조직을 대상으로 한 공격 캠페인에 관여한 사실을 밝혀낸 후 2023년 8월에 처음으로 식별했습니다. 이 악성 코드는 Ursnif Trojan(Gozi라고도 함)을 배포하는 통로 역할을 했습니다. WailingCrab의 배후자는 Bamboo Spider 및 Zeus Panda로도 알려진 위협 행위자 TA544입니다.

운영자가 지속적으로 유지 관리하는 이 악성 코드는 은밀하게 설계된 기능을 보여 분석 노력을 더 잘 방해할 수 있습니다. 은밀한 성격을 강화하기 위해 악성코드는 합법적이지만 손상된 웹사이트를 통해 C2 통신을 시작합니다.

또한 악성 코드의 구성 요소는 Discord와 같이 널리 사용되는 플랫폼에 저장됩니다. 특히, 2023년 중반 이후 악성 코드 동작에 대한 중요한 수정에는 C2 통신을 위해 소형 센서 및 모바일 장치를 위한 경량 메시징 프로토콜인 MQTT를 채택하는 것이 포함됩니다. 이 프로토콜은 이전에 Tizi 및 MQsTTang과 같은 사례에서 관찰된 것처럼 사용 사례가 적기 때문에 위협 환경에서는 비교적 흔하지 않습니다.

WailingCrab 악성코드 전달을 위한 공격 체인

공격 순서는 URL이 포함된 PDF 첨부 파일이 포함된 이메일로 시작됩니다. 이러한 URL을 클릭하면 Discord에서 호스팅되는 WailingCrab 로더를 가져오고 실행하도록 설계된 JavaScript 파일의 다운로드가 트리거됩니다.

로더의 역할은 인젝터 모듈 역할을 하는 쉘코드를 실행하여 후속 단계를 시작하는 것입니다. 그러면 궁극적인 백도어 배포를 담당하는 다운로더의 실행이 시작됩니다. 이전 반복에서 이 구성 요소는 Discord CDN에 첨부 파일로 호스팅되는 백도어를 직접 다운로드했습니다.

WailingCrab의 최신 버전은 AES로 백도어 구성 요소를 암호화합니다. 백도어를 다운로드하는 대신 백도어를 해독하기 위한 암호 해독 키를 얻기 위해 C2 서버에 접근합니다. 악성코드의 핵심 역할을 하는 백도어는 감염된 호스트에 지속성을 구축하고 MQTT 프로토콜을 통해 C2 서버와 통신하여 추가 페이로드를 수신합니다.

게다가 백도어의 최신 변종은 C2에서 MQTT를 통해 직접 쉘코드 기반 페이로드를 사용하기 위해 Discord 기반 다운로드 경로를 포기했습니다. WailingCrab이 MQTT 프로토콜을 사용하도록 전환한 것은 스텔스를 강화하고 탐지를 회피하는 데 의도적으로 초점을 맞추었음을 의미합니다. WailingCrab의 최신 버전에서는 페이로드 검색을 위해 Discord에 대한 의존도를 없애고 스텔스 기능을 더욱 강화합니다.